[发明专利]用于使用物理上不可克隆函数在板上生成密码密钥的方法

说明书

本发明涉及一种用于从至少一个质数生成密码密钥的方法，包括在运行时间时由包括至少一个硬件处理器、物理上不可克隆函数（208）和存储至少一个质询（Ci）和至少一个相关联的增量数（Spi）的存储器（204、205）的密码设备（101）执行的以下步骤，所述相关联的增量数是要在预定的密码质数生成算法中执行以从种子生成所述至少一个质数的增量步骤的数量，该种子使用所述物理上不可克隆函数从所述质询获得：‑从所述存储器中获得（RS1）质询和至少一个相关联的增量数，‑通过将所述物理上不可克隆函数应用于所述获得的质询来生成（RS2）种子，‑通过执行所述密码质数生成算法，以及通过在其中执行与所述获得的至少一个增量数一样多的增量步骤，来从所述生成的种子生成（RS3）所述至少一个质数，‑从所述生成的质数生成（RS4）所述密码密钥。

技术领域

本发明涉及密码密钥生成方法和设备的领域，并且更特别地涉及使用物理上不可克隆函数的板上(on-board)密钥生成。

背景技术

密码算法通常用于通过加密来确保通信的隐私、用于认证或用于生成可验证的签名。大多数密码算法需要密码密钥以用于执行任何密码运算。这样的密钥应在首次使用密码算法之前存储在密码设备的存储器中，并且可能在以后(例如，当原始密钥已被泄露时)必须被更新。

密钥生成过程通常从质数构建新的密码密钥。结果，它通常包括执行质性测试，诸如Miller Rabin测试，以检索这样的质数。

这样的测试涉及计算模幂，其是昂贵的运算。由于诸如SIM卡、银行卡或其他智能卡之类的一些密码设备具有低处理能力，因此已经搜寻了用于减少与更新密码密钥相关联的计算成本的方法。

第一种现有的解决方案是在设备上存储多个密钥，以便能够通过一个新密钥来改变密码密钥，而无需计算新质数和新密钥。这种解决方案的第一个问题是，嵌入在设备中的密钥的数量在其个性化步骤之后无法扩展。另一个问题是，将多个密钥存储在设备中增加了非易失性存储器(NVM)消耗，并增加了设法从设备中检索有效密钥的攻击(转储、探测……)的风险。

第二种现有的解决方案是将种子存储在设备中，从其中可以快速生成质数。使用种子减少了生成新质数的成本，但它具有与先前解决方案相同的缺点。

第三种现有的解决方案是在需要时从远程服务器(诸如证书管理机构)下载密钥。这种解决方案具有可以忽略的计算成本，并且不会使设备中存储的任何数据受到攻击。另一方面，除密码设备外，它需要维护一些附加基础结构，并且需要到服务器的安全链路，以便避免窃听。

因此，仍然需要一种方法，该方法使得能够以有限的计算成本和存储器占用空间在运行时间时使新的密码密钥在密码设备上可用，并且具有较低的暴露新密钥或对应种子的风险。

发明内容

为了这个目的并且根据第一方面，本发明因此涉及一种用于从至少一个质数生成密码密钥的方法，包括在运行时间时由包括至少一个硬件处理器、物理上不可克隆函数以及存储至少一个质询(challenge)和至少一个相关联的增量数的存储器的密码设备执行的以下步骤，所述相关联的增量数是要在预定的密码质数生成算法中执行以从种子生成所述至少一个质数的增量步骤的数量，该种子使用所述物理上不可克隆函数从所述质询中获得：

-从所述存储器中获得质询和至少一个相关联的增量数，

-通过将所述物理上不可克隆函数应用于所述获得的质询来生成种子，

-通过执行所述密码质数生成算法，以及通过在其中执行与所述获得的至少一个增量数一样多的增量步骤，来从所述生成的种子中生成所述至少一个质数，

-从所述生成的质数中生成所述密码密钥。

根据第一方面的方法还可以包括在注册阶段期间由所述密码设备执行的以下步骤：

-通过将密码设备的所述物理上不可克隆函数应用于质询来生成种子，